Exigences du rôle de service pour les tâches d’évaluation de modèles basées sur l’humain - Amazon Bedrock

Exigences du rôle de service pour les tâches d’évaluation de modèles basées sur l’humain

Pour créer une tâche d’évaluation de modèle faisant appel à des évaluateurs humains, vous devez spécifier deux fonctions du service.

Les listes suivantes résument les exigences de politique IAM pour chaque fonction du service nécessaire qui doit être spécifiée dans la console Amazon Bedrock.

Résumé des exigences de politique IAM pour la fonction du service Amazon Bedrock

  • Vous devez attacher une politique de confiance qui définisse Amazon Bedrock en tant que principal du service.

  • Vous devez autoriser Amazon Bedrock à invoquer les modèles sélectionnés en votre nom.

  • Vous devez autoriser Amazon Bedrock à accéder au compartiment S3 qui contient votre jeu de données d’invite et au compartiment S3 où doivent être enregistrés les résultats.

  • Vous devez autoriser Amazon Bedrock à créer les ressources de boucle humaine nécessaires dans votre compte.

  • (Recommandé) Utilisez un bloc Condition pour spécifier les comptes autorisés à y accéder.

  • (Facultatif) Vous devez autoriser Amazon Bedrock à déchiffrer votre clé KMS si vous avez chiffré le compartiment de votre jeu de données d’invite ou le compartiment Amazon S3 où doivent être enregistrés les résultats.

Résumé des exigences de politique IAM pour le rôle de service Amazon SageMaker AI

  • Vous devez attacher une politique de confiance qui définisse SageMaker AI en tant que principal du service.

  • Vous devez autoriser SageMaker AI à accéder au compartiment S3 qui contient votre jeu de données d’invite et au compartiment S3 où doivent être enregistrés les résultats.

  • (Facultatif) Vous devez autoriser SageMaker AI à utiliser les clés gérées par le client si vous avez chiffré le compartiment de votre jeu de données d’invite ou l’emplacement où doivent être enregistrés les résultats.

Pour créer une fonction du service personnalisée, consultez Création d’un rôle à l’aide de politiques d’approbation personnalisées dans le Guide de l’utilisateur IAM.

Actions IAM Amazon S3 nécessaires

L’exemple de politique suivant accorde un accès aux compartiments S3 où sont enregistrés les résultats de vos évaluations de modèle, ainsi qu’un accès au jeu de données d’invite personnalisé que vous avez spécifié. Vous devez attacher cette politique au rôle de service SageMaker AI et au rôle de service Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}
Actions IAM Amazon Bedrock nécessaires

Pour autoriser Amazon Bedrock à invoquer le modèle que vous prévoyez de spécifier dans la tâche d’évaluation de modèles automatique, associez la politique suivante au rôle de service Amazon Bedrock. Dans la section "Resource" de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises au rôle de service IAM. Vous devez également ajouter tous les éléments de stratégie de clé AWS KMS requis.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
Actions IAM d’IA augmentée d’Amazon nécessaires

Vous devez également créer une politique qui permette à Amazon Bedrock de créer des ressources liées à des tâches d’évaluation de modèles basées sur l’humain. Comme Amazon Bedrock crée les ressources nécessaires au démarrage de la tâche d’évaluation de modèle, vous devez utiliser "Resource": "*". Vous devez attacher cette politique à la fonction du service Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}
Exigences de principal du service (Amazon Bedrock)

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à Amazon Bedrock d’endosser le rôle.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
                }
            }
        }
    ]
}
Exigences de principal du service (SageMaker AI)

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à SageMaker AI d’endosser le rôle.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}